系统要求
等待 Citrix 预配 Endpoint Management 时,请务必通过安装 Cloud Connector 来为您的 Endpoint Management 部署做好准备。虽然 Citrix 托管和交付您的 Endpoint Management 解决方案,但是仍需要某些通信和端口设置。该设置将 Endpoint Management 体系结构连接到企业服务,例如 Active Directory。
Cloud Connector 要求
Citrix 使用 Cloud Connector 将 Endpoint Management 体系结构集成到您的现有体系结构中。Cloud Connector 通过端口 443 将以下资源位置安全地集成到 Endpoint Management 中:LDAP、PKI 服务器、内部 DNS 查询以及 Citrix Workspace 枚举。
-
至少两台加入到您的 Active Directory 域的专用 Windows Server 计算机。这些计算机可以是虚拟机,也可以是物理机。要安装 Connector 的计算机必须与 UTC 时间同步,才能正确安装和操作。有关最新要求的完整列表,请参阅您的 Citrix 帐户团队提供的部署资料。
入门向导引导您完成在这些计算机上安装 Cloud Connector 的过程。
-
有关更多平台系统要求,请参阅 Citrix Cloud Connector。
支持的 Active Directory 功能级别
Citrix Cloud Connector 支持 Active Directory 中的以下林和域功能级别,以便与 Endpoint Management 结合使用。
| 林功能级别 | 域功能级别 | 支持的域控制器 |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
Citrix Gateway 要求
Endpoint Management 要求针对以下场景在您的资源位置中安装 Citrix Gateway:
- 您需要 Micro VPN 才能访问业务线应用的内部网络资源。这些应用程序通过 Citrix MDX 技术封装。Micro VPN 需要 Citrix Gateway 连接到内部后端基础结构。
- 您计划使用 Citrix 移动生产力应用程序,例如 Citrix Secure Mail。
- 您计划将 Endpoint Management 与 Microsoft Endpoint Manager 集成。
要求:
- 域 (LDAP) 身份验证
- Citrix Gateway 12.1 或更高版本,具有平台/通用许可证
有关详细信息,请参阅 许可。
- 公用 SSL 证书。
有关详细信息,请参阅在 Citrix ADC 设备上创建和使用 SSL 证书。
- Citrix Gateway 虚拟服务器的未使用公用 IP 地址
- Citrix Gateway 虚拟服务器的公共可解析完全限定域名 (FQDN)
- 云托管 Endpoint Management 中间证书和根证书(在脚本包中提供)
- 代理负载平衡器 IP 的未使用内部专用 IP 地址
- 有关端口要求,请参阅本文后面的 Citrix Gateway 端口要求 。
- Citrix Endpoint Management 与 Microsoft Endpoint Manager 的集成
- 在 Microsoft Azure 上部署 Citrix ADC VPX 实例
有关 Citrix Gateway 要求的信息,请参阅 Citrix 客户团队提供的部署材料。
有关 Android Enterprise 要求的信息,请参阅 Android Enterprise 部分。
Citrix Files 要求
Citrix Files 文件同步和共享服务在 Endpoint Management Premium 服务方案中可用。存储区域控制器通过向您的 Citrix Files 帐户提供私有数据存储来扩展 Citrix Files 软件即服务 (SaaS) 云存储。
存储区域控制器要求:
- 专用物理机或虚拟机
- Windows Server 2012 R2 或 Windows Server 2016
- 2 个 vCPU
- 4 GB RAM
- 50 GB 硬盘空间
-
Web 服务器 (IIS) 的服务器角色:
- 应用程序开发:ASP. NET 4.5.2
- 安全性:基本身份验证
- 安全性:Windows 身份验证
Citrix Files 平台要求:
- Citrix Files 安装程序要求在 Windows Server 上具有管理权限
- Citrix Files 管理员用户名
端口要求
要使设备和应用程序能够与 Endpoint Management 通信,应在防火墙中打开特定端口。下图显示了 Endpoint Management 的流量图。
以下部分列出了必须打开的端口。有关移动生产力应用程序使用的 URL 的信息,请参阅 功能标志管理。
Citrix Gateway 端口要求
打开端口以允许用户通过 Citrix Gateway 从 Citrix Secure Hub 和 Citrix Workspace 连接到:
- Endpoint Management
- StoreFront
- 其他内部网络资源,例如 Intranet Web 站点
有关 Citrix Gateway 的更多信息,请参阅 Citrix Gateway 文档中的配置 Citrix Endpoint Management 环境的设 置。有关 IP 地址的信息,请参阅 NetScaler Gateway 文档中的 NetScaler Gateway 如何使用 IP 地址。
| TCP 端口 | 说明 | 源 | 目标 |
|---|---|---|---|
| 53(TCP 和 UDP) | 用于 DNS 连接。 | Citrix Gateway SNIP | DNS 服务器 |
| 80/443 | Citrix Gateway 通过第二个防火墙将 Micro VPN 连接传递到内部网络资源。 | Citrix Gateway SNIP | Intranet Web 站点 |
| 123(TCP 和 UDP) | 用于网络时间协议 (NTP) 服务。 | Citrix Gateway SNIP | NTP 服务器 |
| 389 | 用于非安全 LDAP 连接。 | Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) | LDAP 身份验证服务器或 Microsoft Active Directory |
| 443 | 用于从 Citrix Workspace 到 Citrix Virtual Apps and Desktops 与 StoreFront 的连接。 | Internet | Citrix Gateway |
| 443 | 用于连接到 Endpoint Management 以实现 Web、移动和 SaaS 应用程序交付。 | Internet | Citrix Gateway |
| 443 | 用于 Cloud Connector 通信 – LDAP、DNS、PKI 和 Citrix Workspace 枚举 | Cloud Connector 服务器 | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.blob.core.windows.net/, https://*.servicebus.windows.net |
| 443 | 用于通过浏览器访问 Endpoint Management 自助服务门户(如果已启用)。 | 访问点(浏览器) | Endpoint Management (https://<sitename>/zdm/shp) |
| 636 | 用于安全 LDAP 连接。 | Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) | LDAP 身份验证服务器或 Active Directory |
| 1494 | 用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。 | Citrix Gateway SNIP | Citrix Virtual Apps and Desktops |
| 1812 | 用于 RADIUS 连接。 | Citrix Gateway NSIP | RADIUS 身份验证服务器 |
| 2598 | 用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。 | Citrix Gateway SNIP | Citrix Virtual Apps and Desktops |
| 3269 | 用于 Microsoft Global Catalog 安全 LDAP 连接。 | Citrix Gateway NSIP(或者 SNIP,如果使用负载平衡器) | LDAP 身份验证服务器或 Active Directory |
| 4443 | 用于管理员通过浏览器访问 Endpoint Management 控制台。 | 访问点(浏览器) | Endpoint Management |
| 8443 | 用于注册、应用商店和移动应用程序管理 (MAM)。 | Citrix Gateway SNIP | Endpoint Management |
| 8443 | 用于 Secure Mail 身份验证令牌的 Secure Ticket Authority (STA) 端口 | Citrix Gateway SNIP | Endpoint Management |
网络和防火墙要求
要使设备和应用程序能够与 Endpoint Management 通信,应在防火墙中打开特定端口。下表列出了这些端口。
打开从内部网络到 Citrix Cloud 的端口:
| TCP 端口 | 源 IP | 说明 | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | Cloud Connector | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net |
||
| 443 | 管理控制台 | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads |
||
| 443 | Endpoint Management 自助服务门户通过浏览器访问(如果启用了该门户) | Endpoint Management | ||
| 4443 | 通过浏览器访问 Endpoint Management 控制台 | Endpoint Management |
打开从 Internet 到 DMZ 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | Endpoint Management 客户端设备 | Citrix Gateway IP | ||
| 443 | Endpoint Management 客户端设备 | Citrix Gateway VIP | ||
| 443 | Citrix Files 公用 IP | CTX208318 | Citrix Gateway VIP |
打开从 DMZ 到内部网络的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 389 或 636 | Citrix Gateway NSIP | Active Directory IP | ||
| 53 (UDP) | Citrix Gateway NSIP | DNS 服务器 IP | ||
| 443 | Citrix Gateway SNIP | Exchange (EAS) Server IP | ||
| 443 | Citrix Gateway SNIP | 内部 Web 应用程序/服务 | ||
| 443 | Citrix Gateway SNIP | 存储区域控制器 IP |
打开从内部网络到 DMZ 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | 管理客户端 | Citrix Gateway NSIP |
打开从内部网络到 Internet 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | Exchange (EAS) Server IP | Endpoint Management 推送通知侦听器 (1) | ||
| 443 | 存储区域控制器 IP | Citrix Files 控制平面 | CTX208318 |
(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com
打开从企业 Wi-Fi 到 Internet 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 8443 / 443 | Endpoint Management 客户端设备 | Endpoint Management | ||
| 5223 | Endpoint Management 客户端设备 | Apple APNS 服务器 | 17.0.0.0/8 |
|
| 5228 | Endpoint Management 客户端设备 | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5229 | Endpoint Management 客户端设备 | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5230 | Endpoint Management 客户端设备 | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 443 | Endpoint Management 客户端设备 | Firebase Cloud Messaging | fcm.googleapis.com |
|
| 443 | Endpoint Management 客户端设备 | Windows 推送通知服务 | *.notify.windows.com |
|
| 443 / 80 | Endpoint Management 客户端设备 | Apple iTunes App Store | ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com |
|
| 443 / 80 | Endpoint Management 客户端设备 | Google Play | play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com |
|
| 443 / 80 | Endpoint Management 客户端设备 | Microsoft 应用商店 | login.live.com, *.notify.windows.com |
|
| 443 | Endpoint Management 客户端设备 | 适用于 iOS 和 Android 的 Endpoint Management 自动发现服务 | discovery.cem.cloud.us |
|
| 443 | Endpoint Management 客户端设备 | 适用于 Windows 的 Endpoint Management 自动发现服务 |
enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
|
|
| 443 | 存储区域控制器 IP | Citrix Files 控制平面 | CTX208318 | |
| 443 | Endpoint Management 客户端设备 | Google Mobile Management、Google API、Google Play 应用商店 API | *.googleapis.com |
|
| 443 | Endpoint Management 客户端设备 | v470 之前的 CloudDPC 版本的连接性检查。自 N MR1 起的 Android 连接检查要求 https://www.google.com/generate_204 可访问,或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件) |
connectivitycheck.android.com, www.google.com |
自动发现服务连接的端口要求
此端口配置可确保从 Secure Hub for Android 连接的 Android 设备可以从内部网络访问Endpoint Management 自动发现服务 (ADS)。下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。
注意:
ADS 连接可能不支持您的代理服务器。在这种情况下,允许 ADS 连接跳过代理服务器。
如果您希望启用证书固定,请完成以下必备条件:
- 收集 Endpoint Management 服务器和 Citrix Gateway 证书: 证书必须采用 PEM 格式,且必须是公有证书而不是私钥。
- 联系 Citrix 支持人员并请求启用证书锁定: 在此过程中,系统会要求您提供证书。
证书固定功能要求设备先连接到 ADS,然后再注册。此要求确保 Secure Hub 可以使用最新的安全信息。为了 Secure Hub 注册设备,该设备必须访问 ADS。因此,在内部网络内开放 ADS 访问权限对于启用设备注册至关重要。
要允许访问适用于 Android/iOS 的 Secure Hub 的 ADS,请为以下 FQDN 打开端口 443:
| FQDN | Port(端口) | IP 和端口用法 |
|---|---|---|
discovery.cem.cloud.us |
443 | Secure Hub - 通过 CloudFront 进行的 ADS 通信 |
有关支持的 IP 地址的信息,请参阅来自 AWS 的基于云的存储中心。
Android Enterprise 网络要求
有关为 Android Enterprise 设置网络环境时要考虑的出站连接的信息,请参阅 Google 支持文章 Android Enterprise Network Requirements(Android Enterprise 网络要求)。
应用程序要求
Citrix Endpoint Management 支持添加和维护多达 300 个应用程序。超过此限制会导致您的系统变得不稳定。